Xmatrices

曾与王小云共同攻破完整 MD5 算法的中科院的冯登国与长沙国防科大的谢涛最近在 IACR 上发布了一篇题为《仅用一个消息块实现 MD5 碰撞》的文章。出于安全因素的考虑，文章中并未公开具体实现方法，但他们向全球密码学爱好者发出挑战：第一个在 2013 年 1 月 1 日之前找出新的单块碰撞的人将获得一万美元的奖励。

他们公布的产生碰撞的消息块为：

0x6165300e,0x87a79a55,0xf7c60bd0,0x34febd0b,0x6503cf04,0x854f709e,
0xfb0fc034,0x874c9c65,0x2f94cc40,0x15a12deb,0x5c15f4a3,0x490786bb,
0x6d658673,0xa4341f7d,0x8fd75920,0xefd18d5a

0x6165300e,0x87a79a55,0xf7c60bd0,0x34febd0b,0x6503cf04,0x854f749e,
0xfb0fc034,0x874c9c65,0x2f94cc40,0x15a12deb,0xdc15f4a3,0x490786bb,
0x6d658673,0xa4341f7d,0x8fd75920,0xefd18d5a

这两个消息块有两处不同，但 MD5 均为 0xf999c8c9 0xf7939ab6 0x84f3c481 0x1457cb23

来自CNBeta

路透社报道，安全研究人员周四称，名为Geinimi的病毒正通过中国Android第三方应用商店传播，是第一种有类似僵尸网络功能的Android恶意程序。

安全公司Lookout Mobile Security估计， 被该病毒感染的手机数量在数万到数十万部之间。他们目前只在中国Android第三方应用商店中发现了含有该病毒的软件，而官方的Android电子市场 似乎是安全的。恶意程序会收集用户的个人数据，然后发送到远程服务器，病毒联系的服务器域名包括www.widifu.com、 www.udaore.com、www.frijd.com、www.islpast.com和www.piajesj.com。

研究人员表示，该病毒尚 未造成严重破坏，他们也不能确定病毒作者的意图何在。受感染程序包括《Monkey Jump 2》、《President vs. Aliens》、《City Defense》和《Baseball Superstars 2010》等视频游戏版本。

来自Solidot

北京时间12月31日凌晨消息，民意调查机构Rasmussen Reports的一项调查显示，超过半数的美国人反对美国联邦通讯委员会(以下简称“FCC”)对互联网采取监管措施。

调查显示，在1000名受访者中，其中仅有21%的人赞成FCC对互联网采取监管措施；54%反对政府监控互联网；还有25%尚未作出决定。

本月早些时候，FCC出台新规，要求美国互联网服务提供商遵循“网络中立性”原则，不得歧视对待其网络上的互联网流量。这一举措在美国政界激起轩然大波，有人认为这些规定毫无必要，而FCC是否具有执行权限也值得商榷。

在调查中，Rasmussen Reports要求受访者回答如下问题：FCC是否应当像监管广播和电视那样监管互联网；监管与自由市场竞争相比，哪一个能够更好地保护网民权益；以及FCC是否会滥用互联网监管权，以达到某些不可告人的目的。

调查结果显示，52%的受访者希望用自由市场竞争保护自己的互联网权益，而27%更青睐当局的监管措施。

在FCC将如何使用互联网监管权的问题上，56%的受访者认为该机构将借机实现某些政治目的，28%则认为该机构将公正无私。

此外，只有20%的受访者表示一直在密切关注FCC在网络中立性问题上的决策，另有35%表示曾关注过。

来自东方财富网

据国外媒体报道，加拿大黑莓手机制造商Research in Motion（RIM）已同意在印度安装网络数据分析系统，这将为RIM与印度安全部门之间为期三年的僵局画上句号。印度方面称，要求RIM建立网络数据分析系统纯属出于安全考虑。

据悉，今年十月，印度安全部门已向RIM发出最后通牒，提出对黑莓手机的相关服务进行跟踪监管，并要求RIM在1月31日前就合法拦截黑莓手机的数据提交“最后方案”。

印度当地部门曾通知RIM建立NDAS架构，对RIM网络的数据自动解码，确保截获并破译的数据不被传送至国外。

据悉，本月上旬，RIM已向印度安全部门提交一份云解决方案，但所截取数据仍可在RIM欧洲服务器和移动网络之间传输，后被限令整改。

印度安全部门负责人Arvind Kumar称，“RIM所提交的最终解决方案将实现自动解码。RIM已提出在印度安装NDAS。根据这项方案，所有截取破译的数据将只在服务提供商和RIM印度网络之间传送。”

RIM此次做出了很大让步。之前，RIM认为印度当局无权截取任何黑莓手机通讯内容，拒绝在印度安装服务器。印度安全部门曾要求RIM于10月31日前提供公司邮件和信息服务密钥和密码，RIM提出宽限23周，延迟至2011年1月31日以提交“最终解决方案”。

据悉，印度是RIM发展最快的市场之一，此次对话可能为RIM带来良好开局。黑莓手机的卖点是高安全性的公司邮件，这使黑莓服务在高级职员之间甚为流行。印度现有一百多万黑莓手机用户，但黑莓电子邮件和信息服务收益还不到40万卢比。

来自网易

本周举行的Chaos Computer Club (CCC) Congress会议上，研究人员演示了窃听GSM加密手机通话和短消息，他们所用的工具只是15美元的电话、笔记本电脑和开源软件。安全研究人员去年已经指出，GSM系统不安全，并破解了其加密算法A5/1。

在最新的演示中，研究人员发现了GSM网络和手机之间交换信息的漏洞。在背景通讯中，GSM网络会向目标手机发送识别信号，类似空白的check in，通讯中的空间填满了缓冲字节，虽然新的GSM标准已经用随机字节取代了缓冲字节，但目前大量GSM手机仍然采用旧标准。通过分析缓冲字节，研究人员能高精确度的预测加密通讯的明文内容。再加上彩虹表（rainbow table），研究人员的破解程序可以20秒内破译出加密会话的密钥。

来自Solidot

路透社报导，两个iPhone和iPad用户群体分别向苹果提起诉讼，称某些应用程序未经许可把用户个人信息泄露给第三方广告商。

他们向加州一个联邦法庭对苹果提起集体诉讼， 要求禁止未经许可泄露用户信息，并且要求经济赔偿。在12月23日提出的诉讼中，也将深受欢迎的应用程序Textplus4、Paper Toss、Weather Channel、Dictionary.com、Talking Tom Cat和Pumpkin Maker等的开发商列为共同被告。

来自Solidot

周一在德国举行的Chaos Computer Club会议上，研究人员发出警告，Tor匿名网络存在缺陷，会让用户的浏览历史暴露无遗。
Tor是一种隐藏用户在线活动的工具，用户一旦通过Tor建立回路，从理论上讲窃听者或恶意的中继不可能知道特定通信的来源和位置。但是德国雷根斯堡大学 的研究人员发现，用户所在的本地网络拥有者——Wi-Fi网络供应商或ISP——有能力分析返回的流量模式，并开发出一种基于合理猜测的方法确定通信来 源。研究指纹攻击的Dominik Herrmann博士称，开发者需要了解此类攻击，开发反制措施。

来自Solidot

在安全研究人员发现了Mozilla服务器数据库账户信息泄露后，Mozilla立即停用了多达44000名用户的Firefox附加组件网站用户账户。
这些被泄露的账户无一例外均属于老账户，采用落后的、薄弱的哈希算法加密，而现2009年4月9日以后的Mozilla采用的是SHA-512加密，也就是说在这个时间段后注册的用户没有安全威胁。

Mozilla基础设施安全主任在一份有关数据库信息泄露的文章中表示，为保万全，Mozilla被迫停止所有的受影响用户账号，并通过电子邮件告知用户addons.mozilla.org的用户帐户处于危险之中。

用户账户对于黑客而言是一种相当有价值的信息，人们通常在多个网站重复使用相同密码，掌握一个用户名和密码即可带来有进一步的入侵价值。
来自CNBeta

CNET科技资讯网12月29日发布文章，盘点了2010年隐私泄密事件。

AT&T网站泄漏约11.4万名iPad用户电子邮件地址。

扩展浏览器将用户上网历史泄露给亚马逊，如果用户设置不当，Google Buzz最初会泄密用户联系人身份。

YouPorn因利用用户访问过的网站被指控泄漏用户隐私。Gawker用户资料泄漏导致电子邮件被泄密的LinkedIn用户密码失效。 Facebook向广告客户泄密部分用户数据，促使美国国会问询，但这并未阻止CEO马克·扎克伯格（Mark Zuckerberg）被时代杂志评为“年度人物”。

Google通过网络搜索加密对隐私担忧作出响应。美国国会对隐私担忧的响应也不是一帆风顺：民主党人里克·布歇尔（Rick Boucher）公布了备受争议的隐私法律，结果在几个月之后失去连选资格。民主党人鲍比·拉什（Bobby Rush）的提议也未成功。针对隐私的讨论已进行10年，美国议员仍未就制定新隐私法律达成一致意见。

政治家也没能将Google、微软和AT&T倡导的更新1986年法律、保护云计算隐私提议形成法律。

美国联邦贸易委员会（FTC）作出的网络“不跟踪”机制倒是不错，但没有法律强制执行。两周后，美国商务部发布报告，朝着制定监管公司数据收集行为及客户数据被侵知情权的新法律迈出一小步。Google国会批评家呼吁FTC调查其意外截取Wi-Fi数据事件。

美国政府因公众对隐私泄密担忧而遭谴责，政府承认美国人全身扫描资料进入联邦法院后将被永久记录在案，这引发了人们对机场扫描仪的担忧。运输安全局（TSA）否认机场全身扫描，但内部文件显示，机场确实存在全身扫描。

2010年最大泄密事件当属维基解密及其当事人朱利安·阿桑奇（Julian Assange）。维基解密首先披露的是一架“阿帕奇”直升机拍摄的视频，接着是数万份与阿富汗战争和伊拉克战争有关的美国军事文件。华盛顿官方对此公开表示愤怒，并呼吁对阿桑奇定间谍罪。

来自CNET

安全软件厂商McAfee周二发布报告称，2011年智能手机、Foursquare等地理位置服务、URL短网址服务以及苹果产品将遭遇大量恶意攻击。

McAfee实验室高级副总裁文森特·韦弗(Vincent Weafer)说：“移动设备和社交网络应用已经取得长足进步，而这些深受用户喜爱的平台和服务也成为恶意攻击的目标。它们在短时间内大受欢迎，自身缺陷、所受攻击和数据损失也显著增多。”

换句话说，这些热门服务和设备缺乏安全防护，而公众尚未充分意识到在使用它们时面临的潜在风险。以URL短网址服务为例：不法之徒可以利用该服务伪装较长的恶意网址，而Twitter用户已经习惯了不假思索地点击它们，可能受到垃圾邮件、网络钓鱼和计算机病毒的侵害。

McAfee预计，社交网络仍将是恶意攻击的温床，而Foursquare和Facebook Places等地理位置服务也将遭受更多攻击。报告称：“互联网上的犯罪分子只需要数次点击，就能看到用户在发布什么Twitter消息，他们的地理位置，他们在说些什么，他们的兴趣是什么，以及在使用何种操作系统和应用程序，从而利用这些宝贵的个人信息，有目标地发动攻击。”

此外，移动设备、Google TV等互联网电视平台以及搭载苹果操作系统的设备也将成为恶意攻击的热门目标。

McAfee预计，2011年将出现泄密网站维基解密(WikiLeaks)的“山寨”版本。此外，该网站将遭遇更多“包含政治动机的攻击”。

来自新浪网